| AUTH-001 |
Autenticação
|
Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas, bloqueando SMS/Voz. |
A.5.17
A.8.5
PR.AA-03
6.4
+4
|
4
|
|
| AUTH-002 |
Autenticação
|
Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. |
A.8.5
PR.AA-03
6.3
Art. 46
+3
|
1
|
|
| AUTH-003 |
Autenticação
|
Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (AD), após 10 falhas. |
A.8.5
A.8.3
PR.AA-01
PR.AA-04
+4
|
0
|
|
| AUTH-004 |
Autenticação
|
Verificação de senhas banidas em tempo real contra listas globais (pwned) e dicionários da empresa. |
A.5.17
PR.AA-01
5.2
Art. 6
+3
|
0
|
|
| AUTH-005 |
Autenticação
|
Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 dias (ou usar Managed Identity). |
A.5.16
A.8.2
PR.AA-02
4.7
+6
|
1
|
|
| AUTH-006 |
Autenticação
|
Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independente do token. |
A.8.5
PR.AA-04
16.11
Art. 37
+2
|
0
|
|
| AUTH-007 |
Autenticação
|
Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. |
A.8.5
A.5.15
PR.AA-05
4.8
+3
|
1
|
|
| JML-001 |
Ciclo de Vida (JML)
|
Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até o dia de início. |
A.5.16
A.5.18
PR.AA-01
PR.AA-05
+7
|
0
|
|
| JML-002 |
Ciclo de Vida (JML)
|
Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificação de acesso. |
A.5.18
A.8.4
PR.AA-05
6.5
+5
|
2
|
|
| JML-003 |
Ciclo de Vida (JML)
|
Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min após baixa no RH. |
A.5.16
A.8.5
PR.AA-01
6.5
+5
|
1
|
|
| JML-004 |
Ciclo de Vida (JML)
|
Campanhas trimestrais de Certificação de Acesso com revogação automática se não houver resposta. |
A.5.18
PR.AA-01
6.8
Art. 5
+4
|
1
|
|
| JML-005 |
Ciclo de Vida (JML)
|
Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para achar contas sem dono. |
A.5.16
ID.AM-01
5.3
Art. 37
+3
|
1
|
|
| JML-006 |
Ciclo de Vida (JML)
|
Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovação do sponsor. |
A.5.19
A.5.21
ID.RA-03
6.7
+3
|
0
|
|
| MON-001 |
Monitorização (MON)
|
Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 dias (fria). |
A.8.15
A.5.33
DE.AE-02
8.2
+6
|
2
|
|
| MON-002 |
Monitorização (MON)
|
Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto risco. |
A.8.16
A.8.5
DE.AE-06
5.2
+4
|
2
|
|
| MON-003 |
Monitorização (MON)
|
Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verificadas. |
A.8.23
A.5.23
DE.CM-06
13.6
+5
|
1
|
|
| MON-004 |
Monitorização (MON)
|
Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação fora de banda. |
A.8.2
A.6.8
DE.AE-04
5.4
+4
|
1
|
|
| MON-005 |
Monitorização (MON)
|
Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horários atípicos). |
A.8.16
A.5.2
DE.AE-07
6.6
+4
|
1
|
|
| MON-006 |
Monitorização (MON)
|
Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato no SOC. |
A.6.3
A.6.8
DE.DP-04
14.2
+4
|
0
|
|
| PAM-001 |
Privilégio (PAM)
|
Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas Just-in-Time e temporário. |
A.8.2
A.5.18
PR.AA-05
5.4
+5
|
2
|
|
| PAM-002 |
Privilégio (PAM)
|
Separar contas: adm-user (sem email/web) para gestão e user para uso diário. |
A.8.2
PR.AA-05
5.4
Art. 46
+4
|
2
|
|
| PAM-003 |
Privilégio (PAM)
|
Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. |
A.8.1
A.8.2
PR.AA-01
5.5
+3
|
1
|
|
| PAM-004 |
Privilégio (PAM)
|
Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em Tier 1/2. |
A.8.12
A.5.15
PR.AC-03
5.4
+4
|
2
|
|
| PAM-005 |
Privilégio (PAM)
|
2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com senha longa em cofre. |
A.5.2
A.8.2
ID.RA-03
4.3
+4
|
0
|
|
| PAM-006 |
Privilégio (PAM)
|
Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de gestão (Azure/AWS). |
A.8.1
A.8.11
PR.AA-02
4.2
+3
|
0
|
|